(以前の)プライベート接続を設定する

プライベート サービス アクセスは、Virtual Private Cloud(VPC)ネットワークと VMware Engine のネットワーク間のプライベート接続です。このページでは、Google Cloud VMware Engine へのプライベート サービス アクセスを設定し、VPC ネットワークをプライベート クラウドに接続する方法について説明します。

プライベート サービス アクセスにより、次のことが可能になります。

  • VPC ネットワーク内の仮想マシン(VM)インスタンスと VMware VM の内部 IP アドレスによる排他的通信。VM インスタンスは、インターネット アクセスまたは外部 IP アドレスがなくても、プライベート サービス アクセスを介してサービスにアクセスできます。
  • VMware VM と、内部 IP アドレスを使用したプライベート サービス アクセスをサポートする Google Cloud のサポート サービスの間の通信。
  • Cloud VPN または Cloud Interconnect を使用して VPC ネットワークに接続しているオンプレミス接続がある場合、既存のオンプレミス接続を使用して VMware Engine プライベート クラウドに接続します。

プライベート サービス アクセスは、VMware Engine のプライベート クラウドの作成とは別に設定できます。プライベート接続は、VPC ネットワークを接続するプライベート クラウドの作成前か作成後に作れます。

権限

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      [IAM] に移動
    2. プロジェクトを選択します。
    3. [ アクセスを許可] をクリックします。
    4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

    5. [ロールを選択] リストでロールを選択します。
    6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
    7. [保存] をクリックします。

    始める前に

    1. 既存の VPC ネットワークが必要です。
    2. プロジェクトで Service Networking API を有効にします
    3. 接続する VPC ネットワークでプライベート サービス アクセスを構成します。

    4. 次の手順を実施して、VPC ネットワークのピアリングされたプロジェクト ID を特定します。

      1. Google Cloud コンソールで、[VPC ネットワーク ピアリング] に移動します。servicenetworking-googleapis-com という名前の VPC ネットワーク ピアリング接続がピアリング テーブルに表示されます。
      2. ピアリングされたプロジェクト ID をコピーして、Google Cloud コンソールでプライベート接続を設定するときに使用できるようにします。

    マルチ VPC 接続

    VMware Engine を使用すると、Google Cloud にデプロイされている既存の VPC アーキテクチャを変更することなく、異なる VPC ネットワークから同じプライベート クラウドにアクセスできます。たとえば、マルチ VPC 接続は、テストと開発用に個別の VPC ネットワークがある場合に便利です。

    この状況では、VPC ネットワークは、VMware VM または別々の vSphere リソース グループの他の宛先アドレスと、同じプライベート クラウドまたは複数のプライベート クラウドにわたって通信する必要があります。

    デフォルトでは、リージョンごとに 3 つの VPC ネットワークをピアリングできます。このピアリング上限には、インターネット アクセス ネットワーク サービスで使用される VPC ピアリングが含まれます。上限を引き上げる場合は、Cloud カスタマーケアまでお問い合わせください

    IP アドレスの一意性

    VPC ネットワークを VMware Engine のリージョン ネットワークに接続する場合は、次のガイドラインに沿って IP アドレスが一意になるようにしてください。

    • VPC ネットワーク内の VMware Engine IP 範囲とサブネットで同じ IP アドレス範囲を使用することはできません。

    • VMware Engine の IP 範囲が、VPC ネットワークのサブネット IP アドレス範囲内に収まりません。VPC ネットワーク内のサブネット ルートには、最も範囲の狭い IP アドレス範囲が必要です。

    • VPC ネットワーク ルートがどのように動作するかについては、VPC ネットワーク ルートの概要をよく確認してください。

    • 複数の VMware Engine ネットワークを同じ VPC ネットワークに接続する必要がある場合は、VMware Engine ネットワークごとに一意の IP 範囲を使用するか、別の VMware Engine ネットワークと同じ IP 範囲を使用して VMware Engine ネットワークの 1 つに対してのみ NSX-T 接続を有効にする必要があります。

    プライベート接続の作成

    コンソール、Google Cloud CLI または REST API でプライベート接続を作成します。 リクエストで、接続タイプを PRIVATE_SERVICE_ACCESS に設定し、ルーティング モードを GLOBAL ルーティング モードに設定します。

    コンソール

    1. Google Cloud コンソールで、[プライベート接続] ページに移動します。

      プライベート接続に移動

    2. [作成] をクリックします。

    3. 接続用の [名前] と [説明] を指定します。

    4. 接続先の VMware Engine ネットワークを選択します。

    5. [ピアリングしたプロジェクト ID] フィールドに、事前準備でコピーした [ピアリングしたプロジェクト ID] を貼り付けます。

    6. [プライベート接続の種類] で、[プライベート サービス アクセス] を選択します。

    7. この VPC ネットワーク ピアリング接続のルーティング モードを選択します。ほとんどの場合、グローバル ルーティング モードを選択することをおすすめします。VPC ネットワークとピアリングしている Google サービスがリージョン間で通信しないようにする場合は、Regional ルーティング モードを選択します。この選択により、既存のルーティング モードがオーバーライドされます。

    8. [送信] をクリックします。

    接続が作成されたら、プライベート接続のリストから特定の接続を選択できます。各プライベート接続の詳細ページには、プライベート接続のルーティング モードと、VPC ピアリングで学習されたルートが表示されます。

    [エクスポートされたルート] テーブルには、リージョンから学習したプライベート クラウドと VPC ピアリングを介してエクスポートされたプライベート クラウドが表示されます。複数の VPC ネットワークが同じ VMware Engine リージョン ネットワークにピアリングされている場合、一方の VPC ネットワークから受信したルートが他の VPC ネットワークにアドバタイズされません。

    gcloud

    1. gcloud vmware private-connections create コマンドを実行して、プライベート接続を作成します。

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
        --location=REGION\
        --description="" \
        --vmware-engine-network=NETWORK_ID \
        --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
        --type=PRIVATE_SERVICE_ACCESS \
        --routing-mode=MODE
      

      以下を置き換えます。

      • PRIVATE_CONNECTION_ID: 作成するプライベート接続の名前
      • REGION: このプライベート接続を作成するリージョン。VMware Engine ネットワーク リージョンと一致している必要があります。
      • NETWORK_ID: VMware Engine ネットワーク名。
      • SERVICE_NETWORKING_TENANT_PROJECT: このサービス ネットワーキングのテナント VPC のプロジェクト名。この SNTP は、ピアリング名 servicenetworking-googleapis-comPEER_PROJECT 列で確認できます。
      • MODE: ルーティング モード(GLOBAL または REGIONAL
    2. 省略可: プライベート接続を一覧表示するには、gcloud vmware private-connections list コマンドを実行します。

      gcloud vmware private-connections list \
          --location=REGION

      以下のように置き換えます。

      • REGION: 一覧表示するネットワークのリージョン。

    API

    VMware Engine API を使用して Compute Engine VPC と限定公開サービス アクセス接続を作成する手順は次のとおりです。

    1. POST リクエストを行ってプライベート接続を作成します。

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"
      
      '{
        "description": "My first private connection",
        "vmware_engine_network":
      "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
        "type": "PRIVATE_SERVICE_ACCESS",
        "routing_mode": "MODE",
        "service_network":
      "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
      }'
      

      以下を置き換えます。

      • PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名
      • REGION: このプライベート接続を作成するリージョン
      • NETWORK_ID: このリクエストの VMware Engine ネットワーク
      • SERVICE_NETWORKING_TENANT_PROJECT: このサービス ネットワーキングのテナント VPC のプロジェクト名。この SNTP は、ピアリング名 servicenetworking-googleapis-comPEER_PROJECT 列で確認できます。
      • SERVICE_NETWORK: テナント プロジェクトのネットワーク
    2. 省略可: プライベート接続を一覧表示するには、GET リクエストを行います。

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
      

      以下を置き換えます。

      • PROJECT_ID: このリクエストのプロジェクト名。
      • REGION: プライベート接続を一覧表示するリージョン。

    プライベート接続を編集する

    プライベート接続は、作成後に編集できます。作成したルーティング モードは、GLOBALREGIONAL の間で変更できます。Google Cloud CLI または API で、プライベート接続の説明を更新することもできます。

    コンソール

    1. Google Cloud コンソールで、[プライベート接続] ページに移動します。

      プライベート接続に移動

    2. 編集するプライベート接続の名前をクリックします。

    3. 詳細ページで [編集] をクリックします。

    4. 接続の説明またはルーティング モードを更新します。

    5. 変更を保存します。

    gcloud

    gcloud vmware private-connections update コマンドを実行して、プライベート接続を編集します。

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
       --location=REGION \
       --description=DESCRIPTION \
       --routing-mode=MODE
    

    以下を置き換えます。

    • PROJECT_ID: このリクエストのプロジェクト名。
    • REGION: このプライベート接続を更新するリージョン。
    • DESCRIPTION: 使用する新しい説明
    • PRIVATE_CONNECTION_ID: このリクエストのプライベート接続 ID
    • MODE: ルーティング モード(GLOBAL または REGIONAL

    API

    VMware Engine API を使用してプライベート接続を編集するには、PATCH リクエストを行います。

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"
    
    '{
      "description": "Updated description for the private connection",
      "routing_mode": "MODE"
    }'

    以下を置き換えます。

    • PROJECT_ID: このリクエストのプロジェクト名。
    • REGION: このプライベート接続を更新するリージョン。
    • PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名
    • MODE: ルーティング モード(GLOBAL または REGIONAL

    プライベート接続の説明を取得する

    プライベート接続の説明は、Google Cloud CLI または VMware Engine API を使用して取得できます。

    gcloud

    gcloud vmware private-connections describe コマンドを実行して、プライベート接続の説明を取得します。

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
        --location=REGION
    

    以下を置き換えます。

    • PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名
    • REGION: プライベート接続のリージョン。

    API

    VMware Engine API を使用してプライベート接続の説明を取得するには、GET リクエストを行います。

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
    

    以下を置き換えます。

    • PROJECT_ID: このリクエストのプロジェクト名。
    • PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名。
    • REGION: プライベート接続のリージョン。

    削除したプライベート接続がプライベート接続のリストに表示されなくなったら、Google Cloud コンソールでプライベート接続を削除できます。この手順を順不同で行うと、両方の Google Cloud プロジェクトで DNS エントリが古くなることがあります。

    プライベート接続のピアリング ルートを一覧表示する

    プライベート接続用に交換されたピアリング ルートを一覧表示するには、次の手順を行います。

    コンソール

    1. Google Cloud コンソールで、[プライベート接続] ページに移動します。

      プライベート接続に移動

    2. 表示するプライベート接続の名前をクリックします。

    詳細ページには、インポートされたルートとエクスポートされたルートが表示されます。

    gcloud

    gcloud vmware private-connections routes list コマンドを実行して、プライベート接続用に交換されたピアリング ルートを一覧表示します。

    gcloud vmware private-connections routes list \
        --private-connection=PRIVATE_CONNECTION_ID \
        --location=REGION

    以下を置き換えます。

    • PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名。
    • REGION: プライベート接続のリージョン。

    API

    VMware Engine API を使用してプライベート接続用に交換されたピアリング ルートを一覧表示するには、GET リクエストを行います。

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
    

    以下を置き換えます。

    • PROJECT_ID: このリクエストのプロジェクト名。
    • REGION: プライベート接続のリージョン。
    • PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名。

    ルーティングの上限

    プライベート クラウドが受信できるルートの最大数は 200 です。 たとえば、これらのルートは、オンプレミス ネットワーク、ピアリングした VPC ネットワーク、同じ VPC ネットワーク内の他のプライベート クラウドから取得される場合があります。このルートの上限は、BGP セッション制限ごとの Cloud Router カスタムルート アドバタイズの最大数に対応します。

    特定のリージョンでは、プライベート サービス アクセスを使用して、VMware Engine から VPC ネットワークへの一意のルートを最大で 100 までアドバタイズできます。たとえば、これらの一意のルートには、プライベート クラウド管理 IP アドレス範囲、NSX-T ワークロード ネットワーク セグメント、HCX 内部 IP アドレス範囲が含まれます。このルートの上限は、リージョン内のすべてのプライベート クラウドを含み、Cloud Router の学習したルートの上限に対応します。

    ルーティングの上限については、Cloud Router の割り当てと上限をご覧ください。

    トラブルシューティング

    次の動画では、Google Cloud VPC と Google Cloud VMware Engine の間のピアリング接続の問題を検証してトラブルシューティングする方法について説明します。

    次のステップ